12-12-2019

Talend: GDPR-compliance nog steeds laag

Deel dit bericht

Ruim de helft van de bedrijven wereldwijd slaagt er niet in om binnen de door GDPR wettelijk bepaalde termijn van één maand aan een verzoek tot data-inzage te voldoen. Dat blijkt uit een onderzoek van Talend, aanbieder in cloud data-integratie.

In september 2018 maakte Talend de resultaten bekend van het eerste GDPR benchmark-onderzoek, om inzichtelijk te maken in hoeverre bedrijven in staat waren om te voldoen aan het recht van inzage en overdraagbaarheid van persoonsgegevens, zoals voorgeschreven in de Europese wetgeving. Destijds gaf 70 procent van de ondervraagde ondernemingen aan dat het niet lukte om binnen een maand aan dergelijke verzoeken te voldoen. Nu, een jaar later, heeft Talend het onderzoek opnieuw uitgevoerd, ditmaal onder nieuwe bedrijven en de organisaties die in het eerste onderzoek aangaven niet compliant te zijn. Hoewel het percentage bedrijven dat aangeeft compliant te zijn in het nieuwe onderzoek is gestegen tot 42 procent, blijft dit percentage 18 maanden na invoering van de wetgeving laag.

"Deze resultaten laten duidelijk zien dat toegangsrechten tot persoonlijke data nog steeds de achilleshiel vormt voor veel organisaties," zegt Jean-Michel Franco, Senior Director of Data Governance Products bij Talend. "Om volledig te voldoen aan GDPR is het belangrijk om te weten waar data zich bevinden, hoe en door wie ze worden verwerkt en dat dit veilig gebeurt. Het komende jaar worden er verschillende databeschermingswetgevingen van kracht: de Verenigde Staten (California Consumer Privacy Act in januari), de APAC-regio (PDPA in Thailand in mei) en in Latijns-Amerika (LGPD in Brazilië in augustus). Daardoor wordt het nog belangrijker voor organisaties om hun data governance te veranderen en een 360 graden-overzicht te hebben van klanten, en werknemers die verantwoordelijk zijn voor databescherming te voorzien in mogelijkheden voor geautomatiseerde dataverwerking en -levering. Organisaties moeten meer doen om het vertrouwen te herwinnen van degenen wiens data ze in bezit hebben. Ook moeten ze zich ervan bewust zijn dat ze hoge boetes en zware reputatieschade riskeren wanneer ze niet compliant zijn, vooral in het geval van class actions. Dat kan buitengewoon nadelig uitpakken voor organisaties.

De belangrijkste uitkomsten van het benchmark-onderzoek op een rij.
De achterblijvers: Publieke sector en mediabedrijven hebben moeite om aan verzoeken te voldoen
Het onderzoek toont aan dat slechts 29 procent van de organisaties in de publieke sector binnen een maand data kan aanleveren. De toename in gebruik van data en technologieën zoals gezichtsherkenning en AI, waarmee de publieke sector de ervaring van burgers wil verbeteren, maakt een geïntegreerde aanpak van data governance onmisbaar. Voor de media- en telecommunicatiebranche geldt hetzelfde: slechts 32 procent van de organisaties in deze sector is in staat data binnen de gestelde termijn te leveren.

De middenmoters: Retail, financiële sector, reis-, transport- en hospitality-organisaties scoren maar net gemiddeld
Vergeleken met een jaar geleden, zijn retailers succesvoller; 46 procent van hen weet binnen een maand de opgevraagde data aan te leveren. Een groot deel van de bedrijven in de retailsector heeft inmiddels een aanpak waarin de klant centraal staat, zodat zowel klantervaringen als interne processen verbeterd zijn. Hetzelfde geldt voor organisaties in de financiële sector en ondernemingen in de reis-, transport- en hospitalitywereld. Hospitality presteert het beste: 38 procent van de bedrijven in deze sector is in staat om binnen 16 dagen data aan te leveren.

Gebrek aan automatisering blijft een drempel voor succes
Een van de lessen uit dit onderzoek is het gebrek aan automatisering in de verwerking van verzoeken. Een van de belangrijkste oorzaken waardoor bedrijven niet compliant zijn, is het gebrek aan duidelijk overzicht en duidelijkheid over wie intern de data in bezit heeft. In de financiële sector bijvoorbeeld, komt het voor dat klanten meerdere contracten afsluiten met een bedrijf dat bovendien op meerdere plekken gevestigd is. Dat maakt het lastiger om alle relevante informatie te verzamelen. Het behandelen van een verzoek om inzage vergt in dat geval veel handwerk en vraagt om medewerking van de werknemers. Bovendien kan het verwerken van opvraagverzoeken voor data zeer duur zijn: volgens recent onderzoek door Gartner kost het verwerken van één verzoek bedrijven gemiddeld meer dan 1.400 dollar.

Identiteitscontrole en verzoekproces moeten beter
Uit het onderzoek komt tijdens de procedure van het opvragen van persoonlijke data ook een gebrek aan identiteitscontrole aan het licht. Gemiddeld blijkt slechts 20 procent van de organisaties de identiteit van aanvragers te controleren. En van de bedrijven die dit wel doen, gebruikt een hele kleine minderheid een online en veilige mogelijkheid om identiteitspapieren te delen. In de meeste gevallen werd gevraagd een kopie van identificatiedocumenten toe te sturen via e-mail. Het proces om een verzoek in te dienen blijkt bovendien vaak nog te omslachtig. Veelgehoorde moeilijkheden: het niet kunnen vinden van het e-mailadres waar een verzoek naartoe gestuurd kan worden en het moeten opvolgen van verzoeken omdat gegevens ontbreken of bestanden niet geopend kunnen worden.

Methodologie
Talend heeft een marktonderzoek uitgevoerd om te onderzoeken in hoeverre bedrijven voldoen aan de nieuwe GDPR-wetgeving. Voor het onderzoek zijn wereldwijd 103 bedrijven ondervraagd die activiteiten uitvoeren in Europa (84 procent gevestigd in de EU, 8 procent in Noord-Amerika en 8 procent in de APAC-regio). De bedrijven zijn actief in uiteenlopende sectoren (retail, media, technologie, utilities & telecommunicatie, publieke sector, financiën en de reis-, transport- en hospitalitysector).

Partners